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应 急 中 心 任务 
美国 国家 安全 局 (NSA)" 酸 狐狸 ”漏洞 攻击 武器 平台 技术 分 析 报 告 病毒 SOS 求 救 
、 eo we 、 检验 中 心 任务 
近日 ， 国 家 计算 机 病毒 应 急 处 理 中 心 对 美国 家 安全 局 (NSA) “ 酸 狐狸 "漏洞 攻击 武器 平台 (FoxAcid) 进行 了 技术 分 析 。 该 
漏洞 攻击 武器 平台 是 美国 国家 安全 局 (NSA) 特定 入 侵 行动 办 公 室 (TAO， 也 被 称 为 " 接 入 技术 行动 处 ”) 对 他 国 开展 网 络 间谍 行 取证 产品 
动 的 重要 阵地 基础 设施 ， 并 成 为 计算 机 网 络 入 侵 行动 队 (CNE) 的 主力 装备 。 该 漏洞 攻击 武器 平台 曾 被 用 于 多 起 臭名 昭著 的 网 络 
攻击 事件 。 近 期 ， 中 国 多 家 科研 机 构 先后 发 现 了 一 款 名 为 \ 验 证 器 ” (Validator) 木马 的 活动 痕迹 ， 该 恶意 程序 据 信和 是 NSA" 酸 狐 国家 发 改 委 专项 测试 
狸 "漏洞 攻击 武器 平台 默认 使 用 的 标 配 后 门 恶意 程序 。 这 种 情况 突出 表明 ， 上 述 单 位 曾经 遭受 过 美国 NSA' 酸 狐狸 "漏洞 攻击 武器 > = 
i 国家 移动 互联 网 应 用 安全 管理 
平台 的 网 络 攻击 。 、 
中 心 
一 、 基 本 情况 


“ 酸 狐狸 “漏洞 攻击 武器 平台 (FoxAcid) (以 下 简称 " 酸 狐狸 平台 ”) 是 特定 入 侵 行动 办 公 室 (TAO) 打造 的 一 款 中 间 人 劫持 
漏洞 攻击 平台 ， 能 够 在 具备 会 话 劫持 等 中 间 人 攻击 能 力 的 前 提 下 ， 精 准 识别 被 攻击 目标 的 版 本 信息 ， 自 动 化 开展 远程 漏洞 攻击 渗 
透 ， 向 目标 主机 植 入 木马 、 后 门 。 特 定 入 侵 行动 办 公 室 (TAO) 主要 使 用 该 武器 平台 对 受害 单位 办 公 内 网 实施 中 间 人 攻击 ， 突 破 
控制 其 办 公 网 主机 。 该 武器 平台 主要 被 特定 入 侵 行动 办 公 室 (TAO) 用 于 突破 控制 位 于 受害 单位 办 公 内 网 的 主机 系统 ， 并 向 其 植 
入 各 类 木马 、 后 门 等 以 实现 持久 化 控制 。 酸 狐狸 平台 采用 分 布 式 架构 ， 由 多 台 服 务 器 组 成 ， 按 照 任务 类 型 进行 分 类 ， 包 括 : 垃圾 
钓鱼 邮件 、 中 间 人 攻击 、 后 渗透 维持 等 。 其 中 特定 入 侵 行动 办 公 室 还 针对 中 国 和 俄罗斯 目标 设置 了 专用 的 酸 狐狸 平台 服务 器 。 


二 、 具 体 功能 


酸 狐狸 平台 一 般 结 合 \QUANTUM (量子 ) “和 "SECONDDATE (二 次 约会 ) “等 中 间 人 攻击 武器 使 用 ， 对 攻击 目标 实施 网 络 
流量 劫持 并 插入 恶意 XSS 脚 本 ， 根 据 任务 类 型 和 实际 需求 ，XSS 脚 本 的 漏洞 利用 代码 可 能 来 自 一 个 或 多 个 酸 狐狸 平台 服务 器 。 该 
漏洞 攻击 武器 平台 集成 了 各 种 主流 浏览 器 的 零 日 (0day) 漏洞 ， 可 智能 化 配置 漏洞 载荷 针对 IE、 火 狐 、 蔷 果 Safari、 安 卓 Web 
kit 等 多 平台 上 的 主流 浏览 器 开展 远程 漏洞 溢出 攻击 。 攻 击 过 程 中 该 平台 结合 各 类 信息 泄露 漏洞 对 目标 系统 实施 环境 探测 ， 并 依 
据 探 测 结果 对 漏洞 载荷 进行 匹配 筋 选 ， 选 择 合适 的 漏洞 开展 攻击 。 如 果 目 标价 值 很 高 ， 且 目标 系统 版 本 较 新 、 补 丁 较 全 ， 该 平台 
会 选择 利用 高 价值 零 日 漏洞 实施 攻击 ; 相反 ， 如 果 目 标价 值 较 低 且 系 统 版 本 老 旧 ， 该 平台 会 选择 较 低 价值 的 漏洞 甚至 已 公开 漏洞 
实施 攻击 。 一 旦 漏洞 被 触发 并 符合 入 侵 条 件 ， 就 会 向 目标 植 入 间谍 软件 ， 获 取 目 标 系统 的 控制 权 ， 从 而 实现 对 目标 的 长 期 监视 、 


口 


控制 和 窃 密 。 
三 、 技 术 分 析 


(一 ) 技术 架构 


酸 狐狸 平台 服务 器 采用 微软 公司 的 Windows 2003 Server 和 IIS 作 为 基础 操作 系统 和 Web 应 用 服务 器 。 通 常 部 署 于 具有 独 
立 IP 地 址 的 专用 服务 器 上 ， 对 目标 系统 进行 攻击 筛选 以 及 漏洞 载荷 分 发 ， 完 成 对 目标 的 攻击 过 程 ， 其 攻击 范围 包括 Windows、L 
inux、Solaris、Macintosh 各 类 桌面 系统 及 Windows phone、 苹 果 、 安 卓 等 移动 终端 。 


酸 狐狸 平台 服务 器 之 间 采 用 美国 国家 安全 局 (NSA) 的 CDR 加 密 数据 传输 规则 ， 并 采用 分 布 式 架构 ， 底 层 服务 器 将 截获 的 
数据 加 密 后 向 顶层 汇聚 ， 顶 层 服务 器 解密 后 按照 一 定 的 文件 结构 存放 ， 以 便 采用 Foxsearch 等 情报 检索 工具 进行 检索 。 完 整 的 酸 
狐狸 平台 服务 器 由 三 部 分 组 成 ， 即 : 基础 服务 软件 (基于 Perl 脚 本 开发 ) 、 插 件 和 恶意 程序 载荷 (Payload) 。 


酸 狐狸 平台 主要 以 中 间 人 攻击 方式 投递 漏洞 载荷 。 该 武器 平台 根据 目标 设备 信息 进行 自动 化 的 无 感 植 入 ， 具 体 步骤 如 下 :: 


1. 目 标 网 络 会 话 被 重 定向 支持 之 后 ， 该 武器 平台 的 信息 搜集 模块 首先 利用 信息 泄露 手段 获取 目标 设备 信息 ; 


2. 根 据 获 取 的 信息 匹配 筛选 符合 攻击 条 件 的 漏洞 载荷 ， 并 将 载荷 嵌入 到 请 求 响应 页 面 中 实现 自动 化 投递; 


3. 判 断 漏洞 攻击 的 结果 是 否 成 功 ， 并 根据 返回 信息 向 目标 系统 上 传 指 定 类 型 的 持久 化 载荷 。 


为 实施 上 述 攻击 过 程 ， 酸 狐狸 平台 提供 了 自 定义 逻辑 接口 ， 特 定 入 侵 行动 办 公 室 的 计算 机 网 络 入 侵 行动 队 成 员 可 以 在 服务 器 
上 配置 一 系列 过 滤器 规则 ， 对 来 自 受害 者 的 网 络 请 求 进行 处 理 ， 具 体 包括 : 


1. 复 写 器 (Modrewrite) ， 蔡 换 请 求 中 的 指定 资源 ; 


2. 前 置 过 滤器 (PreFilter) ， 根 据 受害 者 请 求 特征 判断 是 否 是 攻击 对 象 ， 如 果 不 是 则 反馈 HTTP 状 态 码 404 或 200 (并 指向 
特定 资源 ) ; 如 果 受 害 者 属于 攻击 对 象 范围 ， 则 传递 给 漏洞 利用 模块 ， 并 由 漏洞 利用 模块 自动 选择 相应 漏洞 进行 攻击 ; 


3. 后 置 过 滤器 (PostFilter) ， 漏 洞 攻 击 成 功 后 ， 根 据 侦 查 到 的 目标 主机 信息 (包括 : 软 硬 件 环境 信息 、 进 程 信息 等 ) 判断 
是 否 符合 下 一 步 进 行 植 入 操作 的 条 件 ， 对 于 符合 植 入 条 件 的 目标 ， 可 指定 向 目标 植 入 的 恶意 程序 载荷 (Payload) 。 


(二 ) 主要 功能 组 件 
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1. 项 目 跟 踪 器 (Project Tracker 


计算 机 网 络 入 侵 行动 队 使 用 项 目 跟 踪 器 管理 所 有 使 用 酸 狐 狸 平 台 的 行动 任务 ， 采 用 PHP+Javascript 编 写 ， 提 供 非 常 简洁 的 
Web 管 理 界面 ， 行 动 队 成 员 通过 背景 色 了 解 自己 的 权限 ， 背 景色 为 红色 代表 只 有 只 读 权限 ， 绿 色 代 表 具 有 修改 权限 ， 黑 色 为 管 
理 员 权限 。 行 动 队 成 员 通过 项 目 跟踪 器 可 以 完成 的 功能 包括 : 管理 现 有 行动 任务 、 添 加 过 滤器 、 增 加 新 任务 、 增 加 新 服务 器 、 增 
加 服务 器 IP 地 址 、 查 看 近 三 日 内 即将 启动 或 完成 的 任务 等 。 


2. 标 签 编辑 器 (Tag Maker) 


计算 机 网 络 入 侵 行动 队 可 使 用 标签 编辑 器 为 指定 任务 下 的 服务 器 添加 标签 (Tag) ， 每 个 标签 对 应 一 套 攻 击 技 战术 ， 使 用 者 
可 配置 标签 的 TLN、HMAC、MSGID 等 唯一 性 标识 ， 其 中 MSGID 与 特定 的 攻击 工具 相关 ， 如 : 针对 路 由 器 、 防 火 墙 等 植 入 的 间 
谍 软 件 SECONDDATE 对 应 的 MSGID 为 "ace02468bdf13579”。 此 外 ， 标 签 还 可 以 指定 植 入 方式 ， 不 同 的 恶意 负载 根据 其 特性 
应 对 应 选择 不 同 的 植 入 方式 ， 如 : SECONDDATE 或 MAGICBEAN 应 采用 “WEB”“ 植 入 方式 ，YATCHSHOP 应 采用 “SPAM“ 方 
式 ，QUANTUMINSERT 则 应 采用 “QI 方式 。 


3.SECONDDATE 任 务 自动 化 脚本 工具 “FABULOUSFABLE” 


SECONDDATE 是 CNE 行 动 队 通过 酸 狐 狸 平台 进行 分 发 的 主要 恶意 植 入 体 之 一 ， 因 此 酸 狐狸 平台 提供 了 专门 为 SECONDDA 
TE 设计 的 自动 化 任务 脚本 工具 "FABULOUSFABLE” (简称 "FABFAB”) 。FABFAB 可 以 代替 行动 队 人 员 与 SECONDDATE 植 入 
体 交 互 ， 并 按照 事先 设 定好 的 逻辑 ， 自 动 化 分 发 规则 ， 并 收集 规则 执行 日 志和 相关 回 传 数据 。 


4. 标 签 蔡 换 器 (MODREWRITES) 


标签 替换 器 是 酸 狐狸 平台 的 核心 组 件 之 一 ， 通 过 标签 蔡 换 器 ， 计 算 机 网 络 入 侵 行动 队 可 以 任意 替换 被 其 劫持 的 网 络 流量 中 的 
资源 ， 标 签 蔡 换 器 的 规则 采用 XML 格式 编写 ， 与 过 滤器 相同 。 如 图 1 所 示 ， 一 旦 流量 中 的 资源 路 径 与 规则 特征 相 匹 配 ， 则 会 被 蔡 
换 。 


<item name -“[ 待 蔡 换 资源 路 径 ]/> 
<action Tating=“999” name=“[ 替 换 后 资源 路 径 ]”/> 


图 1 标签 蔡 换 器 规则 


实际 上 ， 标 签 替 换 器 规则 还 支持 对 路 径 或 资源 中 的 部 分 字符 串 进行 蔡 换 ， 具 有 较 好 的 适应 性 和 可 扩展 性 。 


5. 白 名 单 规则 (CASTLECREEK Whitelist) 


白 名 单 规则 基于 后 置 过 滤器 ， 可 以 对 指定 IP 地 址 的 主机 植 入 指定 的 恶意 负载 ， 规 则 样 例如 图 2 所 示 。 


<filter lable=“IP Deploy Val-DHS8” filterJd= “FA-XXXXX-XXX-XXXX-XXXX-XXXX”enabled= “true”> 
<filterMatch datatype 一 socketip”matchType= ip > 
<item name=“[ 目 标 卫 地 址 了 /> 
<action rating=“XXXX” maxThreshold=“10” name=“[ 亚 意 负载 文件 名 或 代号 ]"/> 


</filterMatch> 


</filter> 


2 白 名 单 规则 


6. 封 装 器 (Wrappers) 


封装 器 主要 用 于 辅助 后 续 植 入 的 恶意 负载 实现 持久 化 驻 留 。 其 中 一 种 封装 器 名 为 DireScallop， 专 门 针 对 名 为 DeepFreeze 
的 系统 还 原 工具 ， 该 工具 多 用 于 网 吧 中 并 实现 计算 机 重启 后 对 系统 进行 自动 还 原 ，DireScallop 可 以 在 不 重启 的 条 件 下 中 止 Dee 
pFreeze 运 行 ， 植 入 恶意 负载 后 再 重新 启用 DeepFreeze， 使 恶意 负载 被 记录 在 还 原 镜像 中 ， 以 实现 目标 主机 重启 后 仍 可 保持 恶 
意 负载 的 可 用 性 。 
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ll 


Server Mission 
XS10 YachrShop 
XS11 GCHQ MITM 
FOXO0-6000 Test Server(Spam) 
FOX00-600 CT Spam 
FOX00-6002 ME Spam 
FOX00-6003 AA Spam 
FOX00-6004 RU Spam 
FOX00-6005 EU Spam 
FOX00-6100 Test Server(MITM) 
FOX00-610 CTMITM 
FOX00-6102 E MITM 
FOXO00-6103 AA MITM 
FOXO0-6104 RU MITM 
FOXO0-6105 EU MITM 
上 FOX00-6106 CTMAC 
FOXO0-6300 Test Server(Enchanted) 
FOX00-6401 CCNE China 
FOX00-6402 CCNE Russia 
上 FOX00-6403 CCNE Other 

图 3 FA 服务 器 分 布 及 任务 用 途 分 类 


(三 ) 植 入 的 主要 恶意 负载 
1.SECONDDATE (二 次 约会 ) 


针对 路 由 器 和 防火 墙 的 间谍 恶意 程序 ， 可 在 网 络 设备 中 潜伏 并 根据 酸 狐狸 平台 组 件 分 发 的 规则 对 网 络 流量 数据 进行 窃 密 、 劫 
持 、 蔡 换 等 恶意 操作 。 


2.Validator 


Validator 是 酸 狐 狸 平 台 默 认 使 用 的 后 门 恶 意 程序 ， 可 实现 对 目标 的 长 期 控制 。 
3.MistyVeal 


0 并 且 可 以 配置 为 按 细 粒 度 递增 时 间 间 隔 进 行 回 联 ， 以 逃避 特征 检测 。 并 且 会 利用 IE 
浏览 器 作为 回 联 的 渠道 ， 并 可 复 用 IE 浏览 器 的 代理 服务 器 设置 ， 且 仅 对 IE 浏览 器 有 效 。 


4.Ferret Cannon 


Ferret Cannon 是 可 执行 程序 投 送 器 ， 借 助 Ferret Cannon， 酸 狐狸 平台 可 以 目标 投 送 多 种 间谍 软件 工具 ， 如 : United R 
ake，Peddle Cheap，PktWench 和 Beach Head 等 ， 可 执行 程序 可 以 是 .dl| 或 .exe 文 件 。 


站、 运作 方式 
基于 美国 国家 安全 局 (NSA) 前 雇员 斯 诺 登 公开 的 资料 ， 我 们 可 以 部 分 分 析出 酸 狐狸 平台 的 运作 方式 如 下 : 


(一 ) 人 员 编 制 


特定 入 侵 行动 办 公 室 的 计算 机 网 络 入 侵 行动 队 中 会 设置 一 名 或 多 名 酸 狐狸 项 目 教官 ， 这 些 教官 可 以 领导 一 个 或 多 个 酸 狐狸 行 
动 组 ， 行 动 组 中 包括 多 名 计算 机 网 络 入 侵 行动 队 队员 ， 分 别 负责 直接 支援 特定 的 网 络 入 侵 行动 、 维 护 酸 狐狸 服务 器 、 软 件 等 基础 
设施 以 及 根据 任务 需要 开发 和 测试 新 的 插件 、 漏 洞 利用 代码 、 辅 助 入 侵 工 具 和 木马 后 门 等 恶意 负载 。 


(二 ) 阵地 基础 设施 建设 


如 图 3 所 示 ， 特 定 入 侵 行动 办 公 室 在 全 球 范 围 内 部 署 酸 狐 狸 平 台 服 务 器 ， 其 中 编号 前 缀 为 XS 的 服务 器 是 统筹 多 项 任务 的 主 服 
务 器 ， 值 得 注意 的 是 编号 为 XS11 的 服务 器 明确 被 分 配给 英国 情报 机 构 " 英 国政 府 通信 总 部 ”(GCHQ) 开展 中 间 人 攻击 行动 ; 编 
号 为 FOX00-60XX 系 列 的 酸 狐狸 平台 服务 器 用 于 支援 垃圾 钓鱼 邮件 行动 ， 服 务 器 按照 目标 所 在 区 域 进行 了 分 布 式 部 署 ， 包 括 中 
东 地 区 、 亚 洲 地 区 、 欧 洲 地 区 、 俄 罗斯 和 其 他 特定 区 域 ; 编号 为 FOX00-61XX 系 列 的 服务 器 则 用 于 支援 中 间 人 攻击 行动 ， 服 务 
器 分 布 与 FOX00-60XX 系 列 相同 ; 值得 注意 的 是 ， 编 号 为 FOX00-64XX 系 列 的 服务 器 用 于 支援 计算 机 网 络 入 侵 行动 队 漏洞 攻击 
行动 ， 其 中 编号 为 FOX00-6401 的 服务 器 专门 针对 中 国 ，FOX00-6402 号 服务 器 针对 俄罗斯 ，FOX00-6403 号 服务 器 则 针对 其 
他 目标 。 另 外 ，FOX00-6300 号 服务 器 可 能 被 用 于 代号 为 "ENCHANTED” 的 攻击 行动 。 


(三 ) 攻击 实例 
1. 案 例 1 
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<filter lable="Implant deployed — already, self or otherwise deleted” 
filterId 一 FA-b91fb762-3fea-4b6d-aa39-2623125126235”enabled= true > 

<filterMatch dataType=” implant” matchType= ”ci string /> 

<item name="Mistyveal”/> 


<action rating=”1004” maxTime=”43200” includeTid="true” name=”404"/> 


<filterMatch> 
</filter> 
<filter lable="IEKAV_MY” filterld="FA-a950dbf0-e918-4eb8-ab79-34bff13f50al" 


enabled="true"> 
<filterMatch dataType="process" matchType="ci_contains"> 
<item name="avp.exe" /> ”// 卡 巴 斯 基 杀毒 软件 进程 


<filterMatch dataType="process" matchType="ci contains"> 


<item name="iexplore.exe" /> WE 浏览 器 进程 
<action rating="1003" name="”Mistyveal-Win32-11.0.1.1" 和 人 > WW/ 植 入 Mistyveal 后 门 
</filterMatch> 
</ilterMatch> 
</filter> 
<filter lable="tid match deploy MV - bad process 404" 
filterId="FA-1a3f{9db0-5abd-4254-99a6-01dc9f6e3eec" enabled="true"> 
<filterMatch dataType="tid" matchTlype="ci_string"> 
<item name="177312"/> <!--foxtrack 1710--> 
<item name="183556"/> <|--foxtrack 1897--> 
<item name="183560"/> <!--foxtrack 1897--> 
<item name="183587"/> <!--foxtrack 1897--> 
<item name="186675"/> <!--foxtrack 1897--> 
<item name="186677"/> <!--foxtrack 1897--> 


<filterMatch datalype="process" matchType="ci_contains"> 
<item name="ccenter.exe"/> <!--foxtrack 1466 --> ”/W/ 瑞 旺 杀 壹 软件 进程 
<item name="Tavmon exe"/> <!--foxtrack 1466 --> /瑞星 杀毒 软件 进程 
<item name="ravmond.exe"/> <!--foxtrack 1466 --> /瑞星 杀毒 软件 进程 
<item name="ravstub.exe"/> <l--foxtrack 1466 -> /瑞星 杀毒 软件 进程 
<item name="ravtask.exe"/> <|--foxtrack 1466 --> /瑞星 杀毒 软件 进程 
<item name="TavXp.exe"/> <!--foxtrack 1466 --> /瑞星 杀毒 软件 进程 
<item name="ravservice.exe"/> <!--foxtrack 1466 --> /瑞星 杀毒 软件 进程 


<item name="ravtray.exe"/> <!--foxtrack 1466 --> /瑞星 杀毒 软件 进程 


<item name="RavAlert.exe"/> <|--foxtrack 1466 -> /瑞星 杀毒 软件 进程 


<item name="RavUpdate exe"/> <1--foxtrack 1466 --> / 现 星 杀毒 软件 进程 


<item name="rfwproxy.exe"/> <|--foxtrack 1466 --> /瑞星 杀毒 软件 进程 
<item name="rfwstub.exe"/> <!--foxtrack 1466 --> ”// 瑞 性 杀毒 软件 进程 

<item name="Tfwmain.exe"/> <!--foxtrack 1466 --> /瑞星 杀毒 软件 进程 
<item name="Tfwsrv exe"/> <!--foxtrack 1466 --> /瑞星 杀毒 软件 进程 


<item name="kvsrvxp.exe"/> <!--foxtrack 1466 --> / 江 民 杀毒 软件 进程 


图 4 攻击 案例 1 


如 图 4 所 


展示 的 酸 狐狸 平台 服务 器 上 的 过 滤器 规则 片段 ， 可 以 判断 该 服务 器 主要 针对 中 国 的 主机 


目标 进行 攻击 ， 过 滤器 中 重 


点 针对 目标 环境 中 的 卡巴 斯 基 杀 毒 软件 、 瑞 星 杀毒 软件 、 江 民 杀 毒 软件 等 中 国 地 区 流行 的 杀毒 软件 进程 进行 了 匹配 并 进行 了 可 植 


入 条 件 判 断 。 
2. 案 例 2 
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ll 


<filter lable="IP Deploy Val-DH8" filterId="FA-c52126fb-f005-4ebd-9f70-fe3b3d1b2248" 
enabled="true"> 
<filterMatch dataType="socketip" matchType="ip"> 


<item name="203.99.164.199" /> WIP 地 址 归属 于 巴基斯坦 电信 公司 (AS17557) 


<action rating="1070" maxThreshold="10" 
name="FerrentCannon-Win32-1.0.0.1-VALDMW" /> 
</filterMatch> 


</filter> 


到 5 攻击 案例 2 


如 图 5 所 展示 的 服务 器 上 的 过 滤器 规则 片段 ， 可 以 判断 该 FA 服务 器 被 用 于 攻击 IP 地 址 *203.99.164[.]199” 的 目标 ， 并 将 向 
目标 植 入 前 文中 提 到 的 FerrentCannon 恶 意 负载 ， 从 而 进一步 向 目标 投 送 其 他 间谍 软件 。 经 查 ，IP 地 址 *203.99.164[.]19 
9”" 归 属于 巴基斯坦 电信 公司 。 


五 、 总 结 
上 述 技术 分 析 表 明 ， 美 国 NSA" 酸 狐狸 “漏洞 攻击 武器 平台 仍 是 目前 美国 政府 的 主 战 网 络 武器 之 一 ， 有 三 点 结论 值得 国际 社会 


严密 关注 : 一 是 该 漏洞 利用 平台 是 美国 国家 安全 局 NSA 特定 入 侵 行动 办 公 室 (TAO) 下 属 计算 机 网 络 入 侵 行 动 队 的 主 战 装备 ， 
在 计算 机 网 络 入 侵 行动 队 单独 或 配合 进行 的 网 络 入 侵 行动 中 得 到 广泛 应 用 ， 攻 击 范围 覆盖 全 球 ， 其 中 中 国 和 俄罗斯 是 重点 目标 。 
二 是 该 武器 平台 采用 了 高 度 模块 化 结构 ， 具 有 较 高 的 可 扩展 性 ， 同 时 可 以 与 特定 入 侵 行动 办 公 室 的 项 目 管理 工具 高 度 集成 ， 实 现 
高 效 跨行 动 支援 。 三 是 支持 跨 平 台 攻 击 ， 与 特定 入 侵 行动 办 公 室 (TAO) 的 其 他 网 络 武器 进行 集成 后 ， 其 几乎 可 以 攻击 所 有 具有 
网 络 连 接 功能 的 设备 ， 是 名 副 其 实 的 网 络 " 黑 洞 “。 
中 国 国 家 计算 机 病毒 应 急 处 理 中 心 对 全 球 互联 网 用 户 发 出 预警 ， 中 国 的 科研 机 构 绝 不 是 受到 NSA 网 络 攻击 的 唯一 目标 ， 全 
球 范围 内 的 政府 机 构 、 科 研 机 构 和 商业 企业 ， 都 可 能 正在 被 酸 狐狸 平台 远程 控制 ， 平 时 远程 窍 取 重 要 数据 ， 战 时 瘫痪 重要 信息 基 
础 设施 ， 为 美国 式 的 "颜色 革命 " 铺 平 道路 。 


。 Technical Analysis on FOXACID 
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